應急響應流程及思路

一：前言

? ? ? ?對于還沒有在項目中真正接觸、參與過應急響應的同學來說，“應急響應”這四個字見的最多的就是建筑工地上的橫幅 —— 人人懂應急，人人會響應。這里的應急響應和我們網(wǎng)絡安全中的應急響應有著某種本質(zhì)的相似，但卻有些許操作的不同。

? ? ? ? 網(wǎng)絡安全中的應急響應，我個人的將其分為兩種：一種是事前響應 —— 即未雨綢繆，做到防患于未然；將災難性事件扼殺在萌芽之中；另一種就是事后響應 —— 即亡羊補牢；災難性事件發(fā)生之后將損失降到最小。對于網(wǎng)絡安全而言，我們所遇到的大部分應急響應的情況都是事后響應，導致這個情況主要是因為我國網(wǎng)絡安全現(xiàn)狀下企業(yè)安全投入與產(chǎn)出效果之間的矛盾以及網(wǎng)絡安全事業(yè)起步晚、整體網(wǎng)絡安全意識不高等。對于企業(yè)而言，對網(wǎng)絡安全的投入基本是合規(guī)驅(qū)動（滿足法律法規(guī)要求和監(jiān)管要求）和事件驅(qū)動（安全事件），加之我國網(wǎng)絡安全整體意識不強，不少企業(yè)基本就是實行出了問題再彌補的被動式防御措施。因此，本文著重討論事后響應的流程及思路。

二：應急響應流程及思路

A：事前響應

? ? ? ?聽到事前應急響應，不少同學肯定心里在想：事件沒發(fā)生，何來應急？如何響應？筆者怕不是還沒睡醒吧？如此不專業(yè)。在這里筆者保證：在和同學們分享此篇技術文章的時候是前一夜睡了一個好覺，還是自然醒。

? ? ? ? 網(wǎng)絡安全中的事前應急響應簡單的概括為就是企業(yè)因某些安服服務驅(qū)動因素事前向安全公司購買相關藍隊安服服務或攻防演練服務，比如風險評估服務、人員安全意識培訓服務、進行安全巡檢服務、制定安全運營管理計劃服務、舉行應急演練服務、攻防演練服務、進行數(shù)據(jù)安全備份等，以此來提前對未發(fā)生的安全事件做出防范措施。

B：事后響應

? ? ? 而對于事后應急響應，不少同學在不同的論壇、文章中也看見過。筆者將事后應急響應的流程歸納為：事件確認 ——>? 事件抑制 ——> 事件處置 ——>? 事件分析 ——> 編寫報告 ——> 事后跟蹤。

（一）事件確認：對已經(jīng)發(fā)生的安全事件進行確認（是真實攻擊還是設備誤報等），定性分析處理事件所需要的資源支持。

1）確認安全事件的類型、評估事件的影響范圍。

2）安服客戶情緒，確定客戶面對此次安全事件的真實需求和痛點。安全事件發(fā)生之后，客戶可能存在焦急、緊張的情緒，作為技術人員需要用自己的專業(yè)性來安撫客戶情緒，引導客戶確認面對此次安全事件的真實需求，有利于技術人員快速、準確的處理安全事件。

3）根據(jù)經(jīng)驗定性判斷處置此次安全事件所需要的資源支持（設備資源、人員資源、時間資源等等），并形成工單或報告提交給客戶。（這個舉措可以起到安撫客戶情緒，并體現(xiàn)我們作為技術人員的專業(yè)性）

（二）事件抑制：確認為安全事件之后，為了防止攻擊者將攻擊面擴散，需要在一定程度上對事件進行攻擊抑制。

? ? ? ?在事件處置之前，我們可以根據(jù)事件的嚴重性制定相應的應急措施，并根據(jù)客戶的業(yè)務情況進行具體的事件抑制操作。

（1）可中斷業(yè)務：即發(fā)生嚴重安全事件時，客戶運行的業(yè)務系統(tǒng)可以暫時中斷修復。

1）關閉在此次安全事件中被攻擊失陷的業(yè)務系統(tǒng)，并告知客戶可向用戶發(fā)布系統(tǒng)暫時維護的通知，安撫用戶。

2）斷開被攻擊系統(tǒng)的網(wǎng)絡，或關閉被攻擊利用的服務。

3）禁止登錄或刪除被攻擊的系統(tǒng)賬戶。

（2）不同中斷業(yè)務：即發(fā)生嚴重安全事件時，客戶的業(yè)務系統(tǒng)不能中斷運行。

1）修改被攻擊的系統(tǒng)賬戶密碼。

2）根據(jù)被攻擊的具體情況，重新配置安全設備的安全策略。

3）設置源IP白名單。

4）對攻擊感染的設備或系統(tǒng)進行隔離處置。

（三）事件處置：在對攻擊系統(tǒng)進行隔離或?qū)暨M行抑制之后，需要對事件攻擊進行具體的處置。

1）清除被攻擊系統(tǒng)中的病毒、木馬、惡意程序等?？梢允褂们謇砉ぞ哌M行檢測和清理：內(nèi)存和進程檢測工具：Process Hacker，啟動項監(jiān)控工具：Autoruns，文件、惡意代碼檢測工具：Pchunter，殺軟，EDR等。

2）清理Web站點中存在的木馬、暗鏈、掛馬頁面等。可以使用D盾、河馬等進行木馬、病毒檢測和查殺。

3）恢復被攻擊者篡改的系統(tǒng)、設備配置，刪除攻擊者創(chuàng)建的賬戶。

4）刪除異常的系統(tǒng)服務，清理異常進程。

5）若業(yè)務中斷，需要重啟業(yè)務。

（四）原因分析：查找并分析此次安全事件的攻擊鏈，利于預測、阻止和應對潛在的攻擊。

1）進行威脅情報收集，確定攻擊IP，了解攻擊者的基本情況，利于后續(xù)的溯源工作。

2）對系統(tǒng)日志、Web日志、安全產(chǎn)品相關日志、網(wǎng)絡流量日志等進行分析，理解攻擊者的入侵手法，調(diào)查此次安全事件的原因。

3）根據(jù)客戶需求，對攻擊者進行溯源。

（五）編寫報告：根據(jù)此次安全事件的具體情況編寫《xx事件應急響應報告》

1）事件處置完成之后，根據(jù)此次安全事件的情況編寫安全報告，描述安全事件的具體情況、處置過程、處置結果以及對事件的分析，并向客戶提出整改建議、安全產(chǎn)品加固建議?！敬颂幾鳛榘踩珡S商的安全人員應該著重對待 —— 商機】

（六）事后跟蹤：對此次安全事件進行跟蹤，定時詢問客戶系統(tǒng)安全情況。

? ? ? 一般的文章或論壇中對于應急響應的流程并沒有這一步，作為技術側(cè)人員認為在《xx安全事件報告》提交、通過之后此次事件就算結束。但筆者認為，事后跟蹤卻是另一個故事的開始。

? ? ? ?我國的安全服務現(xiàn)狀是重產(chǎn)品輕服務，安全企業(yè)的收入主要還是依靠安全產(chǎn)品側(cè)。雖然現(xiàn)在很多廠商想極力改變這種現(xiàn)狀，但至少目前我國安全服務還是重產(chǎn)品輕服務。因此，在對于應急響應的流程中筆者加入了最后一環(huán)：事后跟蹤。

? ? ? ?事后跟蹤一方面可以復盤發(fā)現(xiàn)在安全事件應急響應中存在的不足和問題，利于安全企業(yè)進行改進提高；另一方面有助于事后監(jiān)測客戶系統(tǒng)安全情況，更重要的是給客戶一種專業(yè)、負責的感覺。同時事后跟蹤可以增強企業(yè)與客戶的粘性，幫助客戶明確企業(yè)在安全體系建設中的缺陷，利于幫助客戶企業(yè)提高安全運營體系建設，降低、甚至杜絕此類安全事件再次發(fā)生的可能。

??